Steeds meer gebruikers van Apple iPhones en iPads, Android smartphones en tablet-pc’s loggen in via onbekende netwerken zoals een restaurant of lounge op het vliegveld, koffiecorner en in de trein. Toen alle digitale informatie nog centraal opgeslagen werd binnen een eigen datacenter was het nog relatief eenvoudig. Een stalen omhulsel beschermde de data en via een vpn verbinding kwamen alleen mensen die geautoriseerd waren op het netwerk.
Met de komst van SaaS en cloud gebaseerde applicaties zoals bijvoorbeeld Salesforce, mySap, Google Docs en Microsoft Office 365 betekent dit dat je data verspreid is over vele plekken. Het wordt dus steeds moeilijker om je digitale identiteit te beschermen waardoor fraude en diefstal een grote bedreiging vormen voor iedereen die inlogt op een ‘open’ netwerk. Wat kun je doen om je netwerk te beschermen, zonder dat de kosten uit de hand lopen? Het antwoord is two factor authenticatie.
Toenemende bezorgdheid
De noodzaak van two factor authenticatie wordt ondersteund door een aantal brede vraagstukken. Steeds meer mensen maken gebruik van de online diensten van de overheid waardoor zij zich ook bewust worden van beveiliging en risico's. Denk hierbij aan het indienen van je btw-aangifte waarvoor je een uniek twaalfcijferig ID krijgt toegewezen. Maar banken en verzekeringsmaatschappijen gebruiken slechts op enkele vlakken authenticatie. Daardoor is nog niet alles zo beveiligd zoals het zou moeten zijn en dit zorgt voor bezorgdheid. Recent onderzoek uitgevoerd door archiefopslag bedrijf Fellowes heeft aangetoond dat het vertrouwen van de consument met betrekking tot dit onderwerp drastisch is gedaald, 96 procent maakt zich zorgen dat organisaties waar zij mee te maken hebben onverantwoord met hun data omgaan. Deze bezorgdheid zal toenemen als het aantal ID-fraude slachtoffers stijgt.
Commercieel gezien is het gebruik van two factor authenticatie ook interessant. Binnen bepaalde sectoren staan bedrijven er op dat hun leveranciers deze manier van verificatie gebruiken om er zeker van te zijn dat de gegevens van consumenten adequaat beschermd worden. Niet alleen consumenten maar ook bedrijven worden zich dus steeds meer bewust van de bescherming van persoonlijke data en informatie die online is opgeslagen.
Maar denk ook aan de bescherming van populaire social media zoals Twitter, Facebook en andere sites. Een onderzoek uitgevoerd voor Capital One toonde aan dat er in de afgelopen twaalf maanden zestig miljoen Facebook, Twitter en andere social media accounts zonder toestemming betreden zijn. Dit laat de omvang van het probleem nog duidelijker zien .
Eenvoudige bediening
Authenticatie is eenvoudig, makkelijk te implementeren en te managen en kost niet meer dan een kop koffie per gebruiker per maand. Het wordt geleverd als een SaaS applicatie waardoor geen dure voorinvestering nodig is. Bedrijven vragen steeds vaker om tokenloze oplossingen. Deze worden aangeboden via softtokens (apps) op smartphones zoals de iPhone, Android toestellen of Blackberry, maar ook via sms authenticatie of de patroon herkenning GridSure. De service is volledig geautomatiseerd en er hoeven geen dure it-resources aan verbonden te worden.
Het automatiseringsaspect van de service is bijzonder belangrijk. De grootste overhead met authenticatie zijn niet de kosten vooraf, maar het on-going management en de administratie van gebruikers. Door gebruik te maken van een geautomatiseerde ‘rules engine' zoals het Blackshield Cloud system maakt het mogelijk om gebruikers automatisch uit te rollen, maar ook om dit automatisch weer aan te passen of terug te draaien.
Je kunt meer dan twintigduizend soft tokens in minder dan twintig minuten inzetten. Dit haalt alle druk van de it-diensten en helpdesk en zorgt ervoor dat het hele proces makkelijker te bedienen is.
Slimme zet
Met de opkomst van cloud based en hosting services, de toenemende populariteit van social media, diverse diensten van de overheid en bancaire wereld en de groei van online handel zal de noodzaak voor goede beveiliging toenemen die dankzij slimme en snelle services zoals two factor authenticatie van Cryptocard.
Best interessant, maar als ‘leek’ mis ik wat two factor authenticatie inhoudt (uitleg, voorbeeld)
Op de site van het bedrijf waar Rob als Sales Manager werkt (http://www.cryptocard.com/), staat meer informatie over TFA.
Anders staat hier meer informatie over een open en low-cost TFA oplossing http://www.yubico.com/
Tja, dat is typisch voor me om aan te nemen dat iedereen snapt wat sterke authenticatie inhoud. Excuus hiervoor. Via deze link staat een uitgebreide uitleg:
http://en.wikipedia.org/wiki/Two-factor_authentication
In het kort komt het neer op een sterkere manier van authenticeren t.o.v. een statisch gebruikersnaam/wachtwoord welke makkelijk te raden, hacken, vinden etc zijn.
Wat je toe voegt is iets wat men heeft. Dus gebruiken mensen nu 2 zaken om in te loggen: iets wat je weet (gebruikersnaam/wachtwoord) en iets wat je hebt (zoals wij dat noemen: een authenticator ofwel token)
Deze authenticators genereren wachtwoorden welke eenmalig geldig zijn.
Dus naast het statisch gebruikersnaam/wachtwoord vult diegene die inlogt ook het eenmalige wachtwoord in in het inlogscherm welke zijn authenticator gegenereerd heeft. Iemand die dus wil inloggen op ander mans naam heeft dus een extra barrière. De hacker/dief moet dus naast een gebruiekersnaam en wachtwoord zien te achterhalen en een authenticator af pakken. En dat is lastig. Vandaar is de authenticatie sterker.
Goed artikel. De noodzaak voor goede authenticatie onderschrijf ik.
Toch zijn er ook rond two-factor authentication nog wel uitdagingen die niet out-of-the-box op te lossen zijn:
– de sleuteldistributie is een probleem. Banken met hun bankpassen en telecombedrijven met de simkaarten kunnen meepraten over deze materie.
– de veelheid aan authenticatie codes die we nu hebben; we kennen allemaal wel de uitdaging van de vele sites en (SaaS-)applicaties waarop we moeten inloggen. Je kunt voor iedere site wel een sleutel gaan uitdelen, maar dat leidt tot een veelheid aan sleutel. Of je moet één sleutel hebben van een trusted party die door andere partijen vertrouwd wordt. Zo’n trusted party hebben wij ook eens gehad in Nederland; Diginotar.
Kortom, ook bij two-factor authentication is er nog wel wat op te lossen.
@Marc
Sleuteldistributie is een probleem net zoals de distributie van authenticators en het beheer van je gebruikers. Toch zijn hier goede oplossingen voor, het gaat te ver die hier te beschrijven maar ze bestaan.
Certificaten zijn een andere oplossing met hun eigen problematiek.
En wat je zegt over SaaS applicaties klopt. Steeds meer bedrijven gebruiken SaaS applicaties en gebruikers moeten elke keer dat ze inloggen op die applicaties hun gebruikersnaam/wachtwoord ingeven. Ook hiervoor bestaan oplossingen om deze inlog sterker te maken. Veel van die SaaS applicaties ondersteunen SAML2.0 en mits je authenticatie fabrikant dit ook ondersteund kun je met sterke authenticatie werken. Als je dit gaat combineren met Single sign on oplossingen dan is dat ook weer een probleem minder.
Rob,
Tegenwoordig worden wachtwoorden automatisch onthouden, handig maar een belangrijk beveiligings issue.
Sommige systemen dwingen het intiepen van een wachtwoord in (denk bv idd aan een cryptokey)
Maar een dubbele beveiliging lijkt me weinig zinvol, immers ook voor security geld dat er een schakel de zwakste is.
Een belangrijke winst zou behaald kunnen worden als een degelijke toegangsbeveiliging universeel toepasbaar zou zijn.
zeg maar een enkele crypto key die ik voor mijn werk kan gebruiken maar ook voor mijn bankzaken en voor de appie hein webshop.
Feit is iig dat je met jou artikel al in een redelijk vroeg stadium de zwarte kanten van de cloud waanzin laat zien.
Mooi artikel. Hier een YouTube filmpje van een jong Nederlands bedrijf die er hun uitleg èn hun oplossing voor presenteren:
http://www.youtube.com/watch?v=te_sgFo5wdo